Skip to content

Wie würden Sie in der Netzwerktelemetrie nach C2-Beaconing jagen?

Kurzantwort

C2-Beaconing ist das periodische Einchecken, das ein Implantat bei seinem Controller durchführt. Jagen Sie es in Netzwerk-/Proxy-/DNS-Telemetrie, indem Sie nach Regelmäßigkeit suchen: Verbindungen zu einem Ziel in nahezu festen Intervallen (selbst mit Jitter), kleine, gleichförmige Anfragen, niedrige Verhältnisse von eingehenden zu ausgehenden Daten, langlebige seltene Ziele sowie verdächtige TLS/JA3-Fingerabdrücke oder merkwürdige User-Agents. Das Signal ist der Rhythmus und die Seltenheit des Ziels, nicht der Payload — der in der Regel verschlüsselt ist.

Nachdem ein Angreifer ein Implantat platziert hat, muss es nach Hause telefonieren, um Anweisungen zu erhalten. Dieses wiederkehrende Einchecken — das Beaconing — hat einen Rhythmus, und der Rhythmus ist erkennbar, selbst wenn der Verkehr selbst verschlüsselt ist.

Das Muster erkennen, nicht den Payload

Modernes C2 reitet auf HTTPS, DNS oder anderen gängigen Protokollen und verschlüsselt seinen Inhalt, sodass die Deep-Packet-Inspection des Payloads in der Regel scheitert. Jagen Sie stattdessen das Verhalten.

Merkmale, die einen Beacon verraten

  • Intervallregelmäßigkeit — Verbindungen zum selben Ziel in nahezu konstanten Intervallen (alle 60 s, jede Stunde). Tragen Sie die Zeitdifferenzen auf; eine enge Verteilung schreit nach Automatisierung.
  • Jitter — Angreifer randomisieren das Intervall, um naive Periodizitätsprüfungen zu überlisten. Berücksichtigen Sie es: Selbst jitterbehaftete Beacons gruppieren sich um einen Mittelwert, der weit enger ist als menschliches Surfen.
  • Datenverhältnisse und -größen — kleine, gleichförmige Anfragen mit niedrigen Verhältnissen von eingehenden zu ausgehenden Daten deuten auf Polling hin, nicht auf menschliche Nutzung.
  • Seltenheit und Alter des Ziels — ein Host, den nur ein oder zwei interne Maschinen je kontaktieren, kürzlich registrierte Domains oder IPs von Hosting-Anbietern.
  • Fingerabdrücke — JA3/JA3S-TLS-Fingerabdrücke und merkwürdige oder fest codierte User-Agents können bekannten Frameworks wie Cobalt Strike entsprechen.

Alles zusammensetzen

Kein einzelnes Merkmal ist schlüssig — die Beaconing-Erkennung stapelt sie. Aggregieren Sie pro Quell-/Ziel-Paar über ein Zeitfenster, bewerten Sie nach Regelmäßigkeit plus Seltenheit plus Verhältnis, und bringen Sie die Top-Kandidaten zur Analystenprüfung hervor. Bestätigte Muster werden zu Erkennungen, die auf T1071/TA0011 abgebildet sind.

Warum das wichtig ist

Senior-Interviewer wollen hören «Ich erkenne den Rhythmus und die Seltenheit, nicht den Payload», zusammen mit dem Bewusstsein für Jitter und Fingerprinting. Kandidaten, die zur Payload-Inspektion von verschlüsseltem C2 greifen, offenbaren eine Lücke.

Wahrscheinliche Anschlussfragen

  • Was ist Jitter, und wie nutzen Angreifer ihn, um der Beacon-Erkennung zu entgehen?
  • Wie hilft ein JA3-Fingerabdruck, ein bekanntes C2-Framework zu erkennen?
  • Warum ist das Verhältnis von eingehenden zu ausgehenden Daten ein nützliches Merkmal für Beaconing?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.